阿里云系統角色AliyunLogDefaultRole具備讀取Logstore數據及將數據投遞到OSS Bucket中的權限。您可以授予OSS投遞任務(新版)使用AliyunLogDefaultRole角色來讀取源Logstore中的數據并將數據投遞到OSS Bucket中。
同賬號投遞
如果您的日志服務Logstore和OSS Bucket屬于同一個賬號,則只需使用該賬號完成云資源訪問授權。具體操作,請參見云資源訪問授權。
授權完成后,OSS投遞任務(新版)將使用AliyunLogDefaultRole角色來讀取源Logstore中的數據并將數據投遞到OSS Bucket中。即您在創建OSS投遞任務(新版)時,需在寫OSS RAM角色和讀Logstore RAM角色中輸入AliyunLogDefaultRole角色的ARN(例如acs:ram::10****12:role/aliyunlogdefaultrole)。如何獲取,請參見獲取AliyunLogDefaultRole的ARN。
跨賬號投遞
如果日志服務Logstore和OSS Bucket不屬于同一個阿里云賬號,例如Logstore屬于阿里云賬號A,OSS Bucket屬于賬號B,則兩個賬號分別完成云資源訪問授權(具體操作,請參見云資源訪問授權)后,還需進行如下配置。
使用阿里云賬號B登錄RAM 控制臺。
在左側導航欄中,選擇。
修改AliyunLogDefaultRole角色的信任策略。
在RAM角色列表中,單擊AliyunLogDefaultRole。
在信任策略頁簽中,單擊編輯信任策略。
將原有的信任策略替換為如下內容,然后單擊保存信任策略。
在Service配置項中添加阿里云賬號A的ID@log.aliyuncs.com,并根據實際情況替換該值。您可以在賬號中心中查看阿里云賬號ID。
該策略表示賬號A有權限通過日志服務獲取臨時Token來操作賬號B中的資源。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "賬號A對應的阿里云賬號ID@log.aliyuncs.com", "log.aliyuncs.com" ] } } ], "Version": "1" }
授權完成后,OSS投遞任務(新版)將使用賬號A下的AliyunLogDefaultRole角色來讀取源Logstore中的數據,使用賬號B下的AliyunLogDefaultRole角色將數據投遞到OSS Bucket中。即您在創建OSS投遞任務(新版)時,需在寫OSS RAM角色中輸入賬號B的AliyunLogDefaultRole角色的ARN(例如acs:ram::11****13:role/aliyunlogdefaultrole),在讀Logstore RAM角色中輸入賬號A的AliyunLogDefaultRole角色的ARN(例如acs:ram::10****12:role/aliyunlogdefaultrole)。如何獲取,請參見獲取AliyunLogDefaultRole的ARN。
獲取AliyunLogDefaultRole的ARN
登錄RAM 控制臺。
在左側導航欄中,選擇。
在RAM角色列表中,單擊AliyunLogDefaultRole。
在基本信息區域,獲取ARN。
請記錄該信息,如果您在創建OSS投遞任務時使用的是默認角色,則需要輸入該信息。